Il Disinformatico: verifica in due passaggi

Visualizzazione post con etichetta verifica in due passaggi. Mostra tutti i post

2019/02/15

“Hackeratemi” l’account Instagram. Questa è la mia password

Ultimo aggiornamento: 2019/02/17 21:00.

Attivare l’autenticazione a due fattori in Instagram è piuttosto semplice: il problema è convincere gli utenti a usarla per proteggere il proprio account in caso di furto di password.

Così vi propongo un esperimento: ho creato un account Instagram di prova che si chiama 123disinformatico. La sua password è instagramtest.

È protetto dall’autenticazione a due fattori. Provate a prenderne il controllo: avete il mio permesso esplicito.

Con questo piccolo esperimento simulo le condizioni in cui si trova l’utente quando avviene un furto in massa di credenziali, per cui la sua password e il suo nome utente circolano liberamente su Internet insieme a milioni di altri dati analoghi, come avvenuto di recente. In queste condizioni, chiunque metta le mani sugli elenchi di password può tentare di rubare un account e quindi un utente può essere attaccato da numerosissimi aggressori.

Per attivare questo antifurto si va nelle Impostazioni (dalla Home, icona in basso a destra, poi icona con tre trattini in alto a destra), si sceglie Privacy e Sicurezza e poi Autenticazione a due fattori. Qui si sceglie Messaggio di testo oppure (consigliabile) App di autenticazione. Infine si immette il codice ricevuto. Tutto qui.

Per maggiore sicurezza, annotate da qualche parte i codici di recupero che vi vengono proposti: sono la soluzione di estrema emergenza in caso di problemi.

2019/02/17 21:00

Avendo annunciato questo esperimento sia via Twitter sia durante la diretta del Disinformatico alla Radiotelevisione svizzera, ho ricevuto circa 200 mail di notifica di nuovi accessi di questo genere:

È interessante notare che Instagram avvisa del tentativo di accesso e fornisce parecchie informazioni sul possibile intruso: l’orario, il tipo di dispositivo o browser, la geolocalizzazione e (in alcuni casi) l’app utilizzata.

Dopo sette tentativi mi è arrivata una mail di avviso differente:

Ciao 123disinformatico,

qualcuno ha provato ad accedere al tuo account Instagram.

Se eri tu, usa il codice seguente per confermare la tua identità:

[omissis]

Se non eri tu, reimposta la tua password per proteggere il tuo account.

Qualcuno ha anche tentato di resettare la password, ma senza successo:

Hi 123disinformatico,

We got a request to reset your Instagram password.

Reset Password

If you ignore this message, your password will not be changed. If you didn't request a password reset, let us know.

Nonostante il numero elevato di tentativi d’intrusione provenienti da vari luoghi e vari dispositivi, Instagram non mi ha buttato fuori dall’app, ma mi ha obbligato a reimpostare la password con questa schermata, dalla quale non potevo uscire senza cambiare password:

È interessante la segnalazione della disconnessione delle sessioni, che però non vale per il mio dispositivo principale (l’app è rimasta nell’account).

Oggi (dopo due giorni di “attacco”) ho cambiato la password come richiesto. Tutto è tornato a posto. Direi che la dimostrazione ha funzionato.

2017/02/17

WhatsApp attiva l’antifurto: verifica in due passaggi

Ultimo aggiornamento: 2017/02/17 11:05.

WhatsApp ha finalmente attivato l’antifurto, o più precisamente la verifica in due passaggi: una tecnica contro il furto di account già adottata da tempo da Facebook, Instagram, Google, Apple e molti altri servizi di Internet. Questa verifica in due passaggi in gergo tecnico si chiama autenticazione a due fattori e risolve una lacuna di sicurezza importante, che consentiva finora a un aggressore di rubare un account WhatsApp sapendo soltanto il numero di telefonino della vittima e sfruttando alcune astuzie informatiche.

Per abilitare la verifica in due passaggi, che è disponibile sia per dispositivi iOS di Apple, sia per dispositivi Android di tutte le marche, andate nelle Impostazioni di Whatsapp, scegliete la voce Account e poi scegliete Verifica in due passaggi. Se non c’è, provate ad aggiornare l’app di WhatsApp: forse ne state usando una versione vecchia.

In questa voce Verifica in due passaggi scegliete Abilita.

A questo punto immettete un codice di accesso a sei cifre, da tenere segreto...

...digitatelo una seconda volta per confermarlo, prendetene nota per non perderlo, immettete facoltativamente un indirizzo di mail da usare se vi dimenticate il codice numerico...

... e il gioco è fatto.

Questo codice numerico non vi verrà chiesto ogni volta che usate WhatsApp, ma solo ogni tanto, per evitare che ve lo dimentichiate. A parte questo, sarà necessario digitarlo soltanto quando cambiate smartphone o se volete aggiungere al vostro account WhatsApp un altro numero di telefono o un altro dispositivo. Cosa più importante, con questo antifurto un ladro informatico, per rubarvi l’account, dovrebbe conoscere il vostro codice e anche avere accesso a uno dei vostri dispositivi abilitati a usare WhatsApp: una situazione decisamente improbabile.

Se non avete un indirizzo di mail da affidare a WhatsApp, non c’è problema: l’antifurto funziona lo stesso. Per contro, se avete dato un indirizzo di mail a WhatsApp, fate attenzione se ricevete delle mail che contengono inviti a disabilitare questa verifica in due passaggi: se non le avete richieste voi, sono dei tentativi di furto che questa nuova protezione ha sventato.

La verifica in due passaggi può sembrare una complicazione inutile, ma provate a chiedere a qualcuno a cui hanno rubato l’account come si sente ora che i suoi messaggi e le sue foto sono visibili al ladro, che potrebbe usarli per ricattarlo.

Provate questa nuova misura di sicurezza: mal che vada, potete sempre disabilitarla, e potete farlo anche se non ricordate il codice numerico o l’indirizzo di mail che avete impostato: basta infatti rientrare nelle Impostazioni, scegliere Verifica in due passaggi e poi Disabilita.

Una volta tanto, insomma, avere maggiore sicurezza anche in WhatsApp è facile. Non approfittarne sarebbe davvero un peccato. E anche se secondo le indagini di Andrea Draghetti ci sono delle lacune importanti, questa novità è comunque un deterrente e un ostacolo in più per i malintenzionati opportunisti.

Fonte: The Hacker News.

2016/08/31

Dropbox: 68 milioni di account violati, ma password datate 2012

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/08/31 11:50.

Troy Hunt di HaveIBeenPwned segnala di aver confermato l’autenticità della collezione di circa 68 milioni di indirizzi di mail e corrispondenti hash di password di Dropbox che sta circolando nei bassifondi di Internet, perché vi ha trovato l’hash della password dell’account di sua moglie, che era stato generato da un gestore di password robuste.

Brutta storia: l’attenuante è che non si tratta delle password in chiaro ma della loro versione hash (che richiede un notevole impegno di calcolo per risalire alla password vera e propria) e che le password risalgono (a quanto risulta) al 2012, per cui se avete cambiato la vostra password di Dropbox dopo quella data siete in salvo da questo saccheggio di massa.

Dropbox sta avvisando via mail gli utenti coinvolti e li sta obbligando a un cambio di password quando accedono al servizio. Anche HaveIBeenPwned sta mandando avvisi agli utenti Dropbox che trova nella collezione e che si sono iscritti al suo servizio di notifica (come il sottoscritto).

Attenzione ai falsi messaggi di avviso, che verranno sicuramente disseminati dai truffatori per tentare di rubare gli account.

Se non l’avete già fatto, attivate l’autenticazione a due fattori anche su Dropbox. Non dimenticate che se qualcuno prende il controllo del vostro account Dropbox, non solo può leggere tutti i vostri dati e documenti, ma può anche cancellarli dai vostri computer.

Cerca nel blog